DKN.5131.1.2024
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r., poz. 572), art. 7 ust. 1 i 2 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako rozporządzenie 2016/679, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez X. S.A. (…) Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez X. S.A. (…) przepisów art. 34 ust. 1 i 2 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych bez zbędnej zwłoki osób, których dane dotyczą,
1) nakłada na X. S.A. (…) administracyjną karę pieniężną w wysokości 4 053 173 zł (słownie: czterech milionów pięćdziesięciu trzech tysięcy stu siedemdziesięciu trzech złotych),
2) nakazuje X. S.A. (…) zawiadomienie, w terminie 7 dni od dnia doręczenia niniejszej decyzji, osób, których dane osobowe ujawnione zostały nieuprawnionemu odbiorcy na skutek naruszenia ochrony danych osobowych zgłoszonego Prezesowi Urzędu Ochrony Danych Osobowych w dniu 7 lipca 2022 r., w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Uzasadnienie
X. S.A. (…), dalej jako „Bank” lub „Administrator”, 8 lipca 2022 r. dokonał Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej także „Prezesem UODO” lub „organem nadzorczym”, zgłoszenia naruszenia ochrony danych osobowych, do którego doszło 30 czerwca 2022 r.
W formularzu „Zgłoszenie naruszenia ochrony danych osobowych” Administrator wskazał, że 7 lipca 2022 r. otrzymał informację od Z. Sp. z o.o. (podmiotu przetwarzającego dane osobowe na zlecenie Administratora), że pracownik podmiotu przetwarzającego „(…) błędnie przesłał dokumenty bankowe klientów Banku do innego banku. Dokumenty ostatecznie zostały w komplecie zwrócone do X. Istnieje prawdopodobieństwo, że zapoznali się z nimi pracownicy innego banku. Jednak ryzyko wystąpienia istotnego ryzyka naruszenia praw i wolności naszych klientów jest zminimalizowane obowiązkiem stosowania tajemnicy bankowej wobec wszystkich informacji, z którymi zapoznają się pracownicy banku. Dlatego nie podjęliśmy decyzji o powiadomieniu naszych klientów o tym zdarzeniu (…)”.
Administrator wskazał, że przyczyną naruszenia było zewnętrzne niezamierzone działanie. Określony został ponadto charakter naruszenia – Bank wskazał, że doszło do naruszenia poufności danych. Administrator określił, że przybliżona liczba osób, których dotyczy naruszenie wynosi (…), a kategorie danych osobowych, które zostały naruszone, obejmują: nazwiska i imiona, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, serię i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości). W treści zgłoszenia naruszenia Administrator określił kategorię osób, których dotyczy naruszenie, wskazując, że obejmuje ono klientów.
Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie zgłoszonego naruszenia (zarejestrowane pod sygn.: […]), a następnie 9 stycznia 2024 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Bank, jako administratora danych, obowiązków wynikających z przepisów art. 34 ust. 1 i 2 rozporządzenia 2016/679.
Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego w sprawie zgłoszonego naruszenia ochrony danych osobowych oraz postępowania administracyjnego ustalił następujący stan faktyczny.
I.
Prezes UODO, działając w oparciu o art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (zwanej dalej ustawą) oraz art. 34 ust. 4 rozporządzenia 2016/679, wystąpieniem z 12 lipca 2022 r. zwrócił się do Administratora o podjęcie działań mających na celu: 1) niezwłoczne zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, 2) przekazanie tym osobom zaleceń odnośnie do zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia, 3) wyeliminowanie podobnych nieprawidłowości w przyszłości. W treści ww. wystąpienia Prezes UODO zwrócił się do Banku o poinformowanie organu nadzorczego w terminie 30 dni od dnia otrzymania niniejszego wystąpienia o wykonaniu działań wskazanych w jego treści.
II.
W odpowiedzi na powyższe wystąpienie Bank nie zawiadomił osób, których dane naruszono, wskazując w piśmie z 21 lipca 2022 r., że podmiot, do którego błędnie przesłano dokumenty zawierające dane osobowe w opinii Banku jest podmiotem zaufanym. Administrator podniósł, że „(…) przeanalizował zgłoszenie podmiotu przetwarzającego dotyczące błędnie przesłanych dokumentów klienta banku do nieuprawnionego odbiorcy. W szczególności skoncentrowaliśmy się na ocenie podmiotu, który jako nieuprawniony dostał dokumentację bankową. Ten nieuprawniony podmiot, który otrzymał dokumenty klienta to był inny bank, z którym współpracujemy (…) W ramach podjętych działań wyjaśniających to zdarzenie, otrzymaliśmy bez zbędnej zwłoki komplet błędnie przesłanej dokumentacji bankowej. Posiadamy również oświadczenia pracowników innego banku, że nie posiadają kopii błędnie otrzymanych dokumentów oraz nie są w stanie zidentyfikować osób, których one dotyczyły. Jednocześnie, osoby te potwierdziły, że mają świadomość konsekwencji przetwarzania danych osobowych bez podstawy prawnej. Dlatego, biorąc pod uwagę powyższe wyjaśnienia, proszę o ponowną weryfikację zasadności powiadomienia osoby poszkodowanej o tym zdarzeniu. Wydaje się, że ryzyko wystąpienia negatywnych konsekwencji naruszenia jej praw i wolności nie jest istotne właśnie ze względu na odbiorcę błędnie przesłanych dokumentów jakim jest inny bank czyli podmiot zaufany (…)”.
III.
W związku ze stanowiskiem Administratora wyrażonym w ww. piśmie, Prezes UODO zwrócił się o przedłożenie dodatkowych wyjaśnień. W odpowiedzi na wezwanie organu nadzorczego, w piśmie z 12 sierpnia 2022 r. Administrator wskazał, że „(…) Bank nie zawierał z innym bankiem – podmiotem zaufanym, którego dotyczy zgłoszenie, umowy sensu stricto w zakresie ochrony danych osobowych, ponieważ nie ma takiej potrzeby. Banki są związane umowami, które zawierają pomiędzy sobą na potrzeby funkcjonowania systemu bankowego. Banki są instytucjami zaufania i współtworzą sektor regulowany licznymi przepisami prawa (…)”.
Prezes UODO zwrócił się do Banku o udzielenie odpowiedzi na pytanie: jak długo administrator współpracuje z niewłaściwym odbiorcą, który został uznany jako zaufany odbiorca; jak przebiegała ta współpraca, w szczególności pod kątem ochrony danych osobowych. Administrator w ww. piśmie wyjaśnił, że „(…) Banki, które otrzymały licencję na prowadzenie działalności bankowej od Komisji Nadzoru Finansowego [KNF] współpracują ze sobą. W związku z czym, bank współpracuje z innym bankiem, którego dotyczy zgłoszenie, od momentu nawiązania relacji związanych z koniecznością zapewnienia funkcjonowania sektora bankowego. Współpraca przejawia się w różnych obszarach np. współpraca w zakresie przeciwdziałania przestępczości bankowej czy cyberprzestępczości. Oba banki działają w ramach Związku Banków Polskich i na forum wypracowują [wraz z innymi członkami] standardy działania podmiotów sektora bankowego. W zakresie ochrony danych osobowych przedstawiciele obu banków działają w ramach dwóch Grup utworzonych w Związku Banków Polskich (…). Współpraca jest stała, a spotkania regularne. Dotyczą one m.in. realizacji RODO w bankach i wymianie doświadczeń. Oceniam współpracę z innym bankiem – podmiotem zaufanym jako wzorową. Ponadto nasze banki respektują przyjęte przez banki Zasady (…), z rozdziałami m.in. Zasady (…) czy Zasady (…). Banki [w tym nasze] przyjęły też Zasady (…) [KNF] (…)”.
Prezes UODO zwrócił się do Administratora o wskazanie, czy nieuprawniony odbiorca posiada opracowane standardy dotyczące ochrony danych osobowych. Bank w tym zakresie wyjaśnił, że „(…) inny bank – podmiot zaufany, posiada standardy i obowiązujące regulacje dotyczące ochrony danych osobowych. Informacje na ten temat są również dostępne na stronie internetowej tego innego banku (…)”.
Ponadto, w piśmie z 12 sierpnia 2022 r. Bank oświadczył, że: „(…) pozostaje w stałych kontaktach z innym bankiem – podmiotem zaufanym. Bank ufa innemu bankowi, który się z dokumentami nie zapoznał oraz wypełnił polecenie odesłania ich do banku. Oznacza to, że skutki tego naruszenia nie będą poważne. Inny bank – podmiot zaufany jest częścią sektora bankowego, który jest jednym z najbardziej uregulowanych sektorów. M.in. z tym zaufanym podmiotem tworzymy system bankowy, który podlega nadzorowi KNF. Podlegamy też pod ustawę o cyberbezpieczeństwie. KNF nie wydał ostrzeżenia wobec tego banku, więc uznajemy że ten drugi bank spełnia warunki określone prawem bankowym czy rekomendacjami KNF (również tymi dotyczącymi bezpieczeństwa informacji). W doktrynie i orzecznictwie banki są traktowane jako instytucje zaufania publicznego zatem jako podmioty zaufane. W bankach wdrożone są systemy zarządzania ryzykiem oraz systemy kontroli wewnętrznej. Jest to zgodne z przepisami prawa, w tym ustawy prawo bankowe, czy rekomendacjami KNF. Dodatkowo na podstawie art. 104 prawa bankowego wszyscy pracownicy banków są zobowiązani do zachowania tajemnicy bankowej. Natomiast zgodnie z art. 171 ust. 5 prawa bankowego, za ujawnienie lub wykorzystanie informacji stanowiących tajemnicę bankową, niezgodnie z upoważnieniem określonym w ustawie, grozi kara grzywny do 1 000 000 złotych i kara pozbawienia wolności do lat 3. Pracownicy banków są świadomi tego obowiązku i związanych z nim sankcji karnych za jego naruszenie (…)”.
IV.
W dniu 14 września 2022 r. zwrócono się do Administratora (za pośrednictwem poczty elektronicznej) o udzielenie informacji, co Administrator rozumie przez wskazanie w wyjaśnieniach z 12 sierpnia 2022 r. cyt.: „Bank ufa innemu bankowi, który się z dokumentami nie zapoznał” oraz czy korespondencja została zwrócona do administratora w stanie nienaruszonym, czy nosiła ślady otwarcia.
Administrator wyjaśnił, że „(…) pracownicy innego banku, którzy błędnie otrzymali przeznaczoną dla X. przesyłkę, standardowo ją otworzyli, i dopiero po otwarciu zorientowali się, że zawartość nie jest przeznaczona dla nich czyli innego banku. Nie było innej drogi by stwierdzić mylność prawidłowego odbiorcy tej przesyłki. Oznacza to, że pracownicy innego banku nie zapoznali się z całością tej dokumentacji. Zgodnie z informacją Z. S.A., ich przesyłki pakowane są w zwykłe białe koperty bez logo z doczepianą formatką do kogo jest przesyłka – bank, nazwisko klienta, zawartość przesyłki. Przesyłka zbiorcza wychodząca do konkretnego banku zawiera kilka kopert. Przesyłka zbiorcza jest z etykietą z informacją o rodzaju przesyłanych dokumentów i nazwiskiem klienta. Przesyłki zbiorcze pakowane są w foliopaki firmy kurierskiej z naklejoną etykietą (…) niezwłocznie po stwierdzeniu, że przesyłka nie jest przeznaczona dla innego banku, ten inny bank powiadomił o tym fakcie Z., a zabezpieczoną przesyłkę przesłał do naszego banku. Jednocześnie pracownicy, którzy mieli dostęp do przesyłki podpisali oświadczenia, że nie są w posiadaniu kopii tych dokumentów, nie mają możliwości zidentyfikowania osób, których dane znajdowały się w tych dokumentach. Oświadczyli również, że są świadomi konsekwencji przetwarzania danych osobowych bez podstawy prawnej (…)”.
Organ nadzorczy dokonał oceny materiału dowodowego pod kątem zbadania jego wiarygodności i mocy dowodowej. Prezes UODO uznał przedłożone przez Administratora dowody za wiarygodne. Za powyższym przemawia fakt, że wyjaśnienia Banku są logiczne, spójne i korelują z całością materiału dowodowego oraz potwierdzone szeregiem dokumentów dostarczonych przez Administratora.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Art. 34 ust. 2 rozporządzenia 2016/679 stanowi, że zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679. Wobec powyższego zawiadomienie powinno zawierać:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
W wyniku przeprowadzonej analizy zgłoszonego przez Administratora naruszenia ochrony danych osobowych, w której wzięto pod uwagę charakter naruszenia, czas jego trwania, kategorie danych, liczbę osób, których dotyczyło naruszenie oraz zastosowane środki naprawcze – Prezes UODO uznał, że naruszenie poufności danych, w szczególności danych dotyczących nazwiska i imienia, adresu zamieszkania lub pobytu, numeru ewidencyjnego PESEL oraz serii i numeru dowodu osobistego, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne jest zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych i przekazanie im wszystkich informacji określonych w art. 34 ust. 2 rozporządzenia 2016/679.
Podkreślić należy, że w sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest na podstawie art. 34 ust. 1 rozporządzenia 2016/679 bez zbędnej zwłoki zawiadomić osoby, których dane dotyczą, o takim naruszeniu. Oznacza to, że administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw lub wolności również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej. W motywie 86 rozporządzenia 2016/679 wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.
Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobom podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak - Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą, szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator powinien był bez zbędnej zwłoki zapewnić tym osobom możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku Administrator nie wywiązał się.
Jak wynika z treści przedłożonego zgłoszenia naruszenia danych osobowych, Bank nie zawiadomił osób objętych tym naruszeniem, argumentując to uznaniem niewłaściwego odbiorcy za podmiot zaufany. Prezes UODO nie podzielił tego argumentu przedstawionego przez Administratora jako gwarantującego osobom, których dane dotyczą, ochronę praw lub wolności, jakie im przysługują i wobec powyższego 12 lipca 2022 r. zwrócił się do Banku o podjęcie stosownych działań mających na celu między innymi niezwłoczne i prawidłowe zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych. Mimo skierowania przez Prezesa UODO wystąpienia w tym zakresie, Administrator nie podjął stosownego działania, podtrzymując swoje stanowisko. Szczegółowy opis stanowiska Banku został przedstawiony w opisie stanu faktycznego.
W ocenie organu nadzorczego argumentacja Administratora nie zasługuje na uwzględnienie. Ze zgromadzonego materiału dowodowego wynika, że na skutek omyłkowego przesłania dokumentów zawierających szereg danych osobowych doszło do udostępnienia danych na rzecz podmiotu trzeciego, którym jest inny bank. Jak już wcześniej wskazano, w myśl art. 34 ust. 1 rozporządzenia 2016/679, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zatem w pierwszej kolejności należy wskazać, że najważniejsze jest przeanalizowanie prawdopodobieństwa wystąpienia ujemnych konsekwencji dla osób, na które naruszenie ma wpływ, oraz tego, jak poważne mogą być te konsekwencje z uwzględnieniem zakresu danych osobowych (wskazanego w treści zgłoszenia naruszenia ochrony danych osobowych). W istocie bank, który otrzymał pakiet danych, jest podmiotem trzecim, a to czy może być traktowany jako odbiorca zaufany stosownie do Wytycznych Europejskiej Rady Ochrony Danych (EROD) nr 9/2022[1] przyjętych 28 marca 2023 r., zwanych dalej Wytycznymi 9/2022, powinno zostać ocenione z uwzględnieniem wszystkich okoliczności danego przypadku. Nie ma podstaw do przyjęcia, że zawsze, gdy dochodzi do omyłkowego udostępnienia danych na rzecz banku, to można przyjąć, że mamy do czynienia z podmiotem zaufanym w rozumieniu ww. wytycznych.
W formularzu zgłoszenia naruszenia ochrony danych osobowych – jako „środki zastosowane lub proponowane w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą” (pkt 9C formularza) – wskazał, że „(…) Bank finalnie otrzymał komplet dokumentów swoich klientów. Pracownicy banków są zobowiązani do zachowania w tajemnicy wszystkich informacji, które dotyczą wykonywanych przez nich czynności bankowych. Nie mogą ich oni wykorzystywać w celach innych niż tylko zawodowe (…)”. Administrator przeprowadzając analizę skutków naruszenia obniżył ryzyko naruszenia praw lub wolności osób, których dane osobowe zostały udostępnione innemu bankowi. Mitygację tego ryzyka Administrator argumentował faktem pozyskania oświadczeń pracowników innej organizacji, że nie posiadają oni kopii błędnie otrzymanych dokumentów, nie są w stanie zidentyfikować osób, których one dotyczyły oraz, że mają świadomość konsekwencji przetwarzania danych osobowych bez podstawy prawnej (por. pkt II uzasadnienia faktycznego). Pomimo skierowania do Banku wystąpienia Prezesa UODO Administrator nie dokonał ponownej analizy ryzyka naruszenia praw lub wolności osób, których dane zostały naruszone i nie zmienił swojego stanowiska. W ocenie organu nadzorczego deklaracje związane z dotrzymaniem tajemnicy bankowej nie zwalniają Administratora z obowiązku zawiadomienia osób, których dane zostały naruszone. Podkreślić należy, że tego rodzaju oświadczenia nie dają gwarancji, że – w następstwie zmiany intencji – dane nie zostały lub nie zastaną wykorzystane w przyszłości.
Niedostateczność gwarancji tego rodzaju oświadczeń i zobowiązań pracowników w zakresie zapewnienia poufności danych osobowych potwierdzają liczne przypadki naruszenia obowiązków pracowniczych (i to nawet w sytuacji, gdy określone naruszenia wiążą się z odpowiedzialnością karną). Warto w tym miejscu odwołać się do Wytycznych 01/2021[2], a konkretnie do przykładu nr 8, odnoszącego się do „Eksfiltracji danych biznesowych przez byłego pracownika”. W omawianym przykładzie mowa jest o sytuacji, w której w okresie wypowiedzenia pracownik przedsiębiorstwa kopiuje dane handlowe z bazy danych przedsiębiorstwa, do której ma prawo dostępu i musi wypełniać swoje obowiązki. Kilka miesięcy później, po rezygnacji z pracy, wykorzystuje on uzyskane w ten sposób dane (głównie podstawowe dane kontaktowe) w celu skontaktowania się z klientami przedsiębiorstwa w celu przyciągnięcia ich do nowej firmy. Chociaż jedyny cel byłego pracownika, który złośliwie skopiował dane, może ograniczać się do zdobycia danych kontaktowych klientów firmy do własnych celów handlowych, administrator nie ma kompetencji do uznania, że ryzyko dla osób, których dane dotyczą, jest niskie, ponieważ administrator nie ma żadnej gwarancji co do intencji pracownika. Tak więc, podczas gdy konsekwencje naruszenia mogą być ograniczone do narażenia osób, których dane dotyczą, na niechciany marketing ze strony byłego pracownika, nie jest wykluczone, że może dojść do innego, poważniejszego naruszenia tych danych.
Podobny stan faktyczny (pracownik ZUS w trakcie zatrudnienia, przeglądał dane osób ubezpieczonych; miał do nich dostęp, natomiast nie miał uprawnień do ich przeglądania) był już przedmiotem rozważań Sądu Okręgowego w Elblągu, który w wyroku z 24 marca 2021 r. w sprawie o sygn. akt IV Pa 10/21 wskazał, że „(…) Zachowanie powódki, polegające na uzyskaniu bezprawnego dostępu do danych osobowych klientów ZUS, pozostające bez związku z wykonywanymi obowiązkami pracowniczymi, było działaniem celowym i świadomym i jako takie wypełniło przesłanki ciężkiego naruszenia podstawowych obowiązków pracowniczych. Podkreślić należy, że powódka została przeszkolona przez pracodawcę do wykonywania swoich obowiązków, wielokrotnie składała oświadczenia na piśmie potwierdzające znajomość dokumentów dotyczących przetwarzania danych osobowych oraz bezpieczeństwa informacji w ZUS, wielokrotnie uczestniczyła w szkoleniach dotyczących przestrzegania przepisów o ochronie danych osobowych, posiadała wiedzę o konsekwencjach świadomego naruszenia ochrony danych osobowych, a mimo to swoim zachowaniem naruszyła przepisy nie tylko wewnątrzzakładowe takie jak <Polityka bezpieczeństwa informacji w Zakładzie Ubezpieczeń Społecznych> i <Regulamin pracy Zakładu Ubezpieczeń Społecznych>, ale również art. 4 pkt 12 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UEL 119z 04.05.2016, str. 1; (…)”.
W odniesieniu do ww. sprawy, wnioskując z uzasadnienia powyższego wyroku, należy stwierdzić, że o braku zaufania musi świadczyć sam fakt zalogowania się do systemu w przypadku braku uprawnień. W sprawie objętej ww. wyrokiem brak zaufania wystąpił mimo tego, że strony łączył stosunek zobowiązania. Natomiast odnosząc powyższe do sprawy będącej przedmiotem rozstrzygnięcia w niniejszej decyzji podnieść należeć, że tym bardziej brak zaufania musi mieć miejsce w sytuacji, gdy osoba nieuprawniona uzyskuje dostęp do danych osobowych i co więcej – nie jest związana z Administratorem żadnym stosunkiem zobowiązania. Podkreślić należy, że Bank nie ma możliwości weryfikacji oświadczeń pracowników innego banku (o których mowa w pkt II uzasadnienia faktycznego). W gruncie rzeczy Administrator nie posiada żadnych instrumentów, które umożliwiałyby mu weryfikację tego rodzaju oświadczeń.
Zasadność ww. stanowiska potwierdza wyrok Wojewódzkiego Sadu Administracyjnego z 21 stycznia 2022 r. (sygn. akt II SA/Wa 1353/21), w którym wskazano, że „(…) Trafna i odpowiadająca treści art. 80 k.p.a. była ocena Prezesa UODO, że zwrócenie się przez Spółkę także za pośrednictwem Kontrahenta do Osoby trzeciej - nieuprawnionego odbiorcy - o trwałe usunięcie otrzymanej korespondencji, a nawet złożenie przez tę osobę oświadczenia o trwałym jej usunięciu również nie miało wpływu na ocenę ryzyka naruszenia danych osobowych. Racjonalna była bowiem ocena Prezesa UODO, że nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła danych osobowych zawartych w treści dokumentu w inny sposób, np. poprzez ich spisanie. Samo dokonanie czynności wskazanych w oświadczeniach złożonych przez Osobę trzecią - nieuprawnionego odbiorcę - nie daje gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem (…) prawidłowo wskazuje Prezes UODO, że Spółka nie ma możliwości jego weryfikacji, choć Osobie trzeciej grożą sankcje karne i wynikające z u.o.d.o. (…)”.
Podsumowując powyższe: fakt, iż regulacje prawne, w tym obowiązki związane z zachowaniem tajemnicy (takie jak np.: upoważnienie do przetwarzania danych osobowych w imieniu Banku, oświadczenia potwierdzające zapoznanie się z obowiązującą w Banku polityką przetwarzania danych osobowych oraz standardami bezpieczeństwa i poufności), nie gwarantują osobie, której dane dotyczą, stuprocentowej pewności oraz ochrony przed zmaterializowaniem się negatywnych skutków, bowiem kluczowym czynnikiem są stosunki, w jakich pozostają podmioty.
Aby uznać, że w określonej sytuacji mamy do czynienia z nieuprawnionym udostępnieniem danych osobowych na rzecz podmiotu zaufanego muszą wystąpić takie okoliczności, w których administrator danych będzie miał stałe relacje z odbiorcą i może znać jego procedury, historię i inne istotne szczegóły, dzięki którym odbiorca może być uznany za "zaufanego". Ze zgromadzonego materiału dowodowego wynika, że z pakietem dokumentów zapoznali się pracownicy innego banku, nie wynika natomiast, aby administrator i podmiot trzeci posiadali zawarte porozumienia, bądź opracowane procedury na daną okoliczność, co byłoby kluczowe, aby faktycznie zminimalizować ryzyko wystąpienia konsekwencji związanych z naruszeniem ochrony danych osobowych i móc przyjąć, że nieuprawniony odbiorca jest odbiorcą zaufanym.
Wnikliwa analiza Wytycznych 9/2022 jednoznacznie wskazuje, że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. „odbiorcę zaufanego”. Powołane wytyczne kładą nacisk na długotrwałość relacji między administratorem (nadawcą omyłkowo przesłanej korespondencji) a odbiorcą (tej korespondencji) i – wynikającą z tej długotrwałej relacji – znajomość przez administratora procedur, historii i innych istotnych szczegółów dotyczących odbiorcy, pozwalającą administratorowi racjonalnie oczekiwać, że nieuprawniony odbiorca nie będzie starał się odczytać lub uzyskać dostępu do błędnie przesłanej mu korespondencji zawierającej dane osobowe, a jeśli nawet do dostępu do błędnie przesłanych danych osobowych dojdzie, to odbiorca ten nie podejmie żadnych dalszych działań i niezwłocznie zwróci dane osobowe administratorowi (str. 25 – 26 Wytycznych 9/2022). Uznanie określonego podmiotu za „odbiorcę zaufanego” w rozumieniu Wytycznych 9/2022 jest zatem uwarunkowane wiedzą administratora (w tym przypadku nadawcy omyłkowo doręczonej korespondencji zawierającej dane osobowe) co do istnienia rzeczywistych procedur ochrony danych osobowych (np. polityki bezpieczeństwa przetwarzania danych) obowiązujących u nieuprawnionego odbiorcy (w tym przypadku odbiorcy błędnie doręczonej korespondencji zawierającej dane osobowe) przewidujących – przykładowo – sposób postępowania w takich przypadkach, w tym zasady zabezpieczenia błędnie otrzymanych dokumentów zawierających dane osobowe do czasu ich zwrócenia do nadawcy.
Przyjęcie przeciwnego stanowiska, tj. stanowiska zaprezentowanego przez Administratora, nie znajduje zatem uzasadnienia w treści ww. wytycznych, co więcej prowadziłoby w konsekwencji do akceptacji pewnego rodzaju automatyzmu – bowiem w każdym przypadku, w którym nieuprawnionym odbiorcą byłby podmiot działający w ramach prawa, należałoby uznawać go za odbiorcę zaufanego. Takie podejście mogłoby jednak prowadzić do nieuzasadnionego odstępowania od realizacji obowiązku zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych w sytuacji wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności. Z tego powodu, jak należy uznać, EROD w powołanych wyżej wytycznych nie przyjęła, że okoliczność działania nieuprawnionego odbiorcy w ramach prawa kwalifikuje go jako odbiorcę zaufanego, tylko wymaga pozostawania z takim odbiorcą w stałej relacji, dzięki czemu administrator zapewni sobie znajomość obowiązujących u tego odbiorcy procedur, historii i innych istotnych szczegółów go dotyczących.
Nie zasługuje również na uwzględnienie założenie Administratora, że banki są traktowane jako instytucje zaufania publicznego, a zatem jako podmioty zaufane, a w konsekwencji nadmiarowym jest wnioskowanie, że skoro bank jest instytucją zaufania publicznego, to z zasady będzie on również odbiorcą zaufanym. Powołanie się na argument zaufanego odbiorcy powinno być poparte szczegółowo udokumentowaną analizą, należy zbadać konsekwencje naruszenia ochrony danych i mieć na względzie, że naruszenia o podobnych cechach mogą mieć różne skutki dla osób, których dane dotyczą, w zależności od różnych czynników. Analiza przeprowadzona przez administratora musi być zatem jak najbardziej szczegółowa i uwzględniać potencjalny rozwój naruszenia, zwłaszcza mając na uwadze fakt, że Administrator nie ma pewności, ile osób trzecich miało dostęp do omyłkowo przesłanego pakietu danych.
W ocenie Prezesa UODO samo wskazanie, że nieuprawniony odbiorca posiada licencję na prowadzenie działalności bankowej od Komisji Nadzoru Finansowego oraz, że obydwa banki działają w ramach Związku Banków Polskich jest niewystarczające, bowiem Administrator w dalszym ciągu nie wykazał składowych analizy, w której uwzględniłby kwestię odbiorcy zaufanego w ocenie ryzyka przeprowadzanej w następstwie naruszenia ochrony danych osobowych, jak również nie wykazał okoliczności pozwalających na uznanie innego banku za odbiorcę zaufanego, stosownie do Wytycznych 9/2022. Ponadto, sam Administrator wskazuje, że w „(…) zakresie ochrony danych osobowych przedstawiciele obu banków działają w ramach dwóch grup utworzonych w Związku Banków Polskich (…). Współpraca jest stała, a spotkania regularne. Dotyczą one m.in. realizacji RODO w bankach i wymianie doświadczeń. Oceniam współpracę z innym bankiem - podmiotem zaufanym jako wzorową (…)”. Wyjaśnienia te nie wskazują jednak, że podmioty współpracują ze sobą w zakresie naruszeń ochrony danych i wypracowanych procedur z tym związanych.
Uzupełniająco wskazać należy, że fakt uznania przez Administratora innego banku jako podmiotu zaufanego (co – jak już wyżej uzasadniono – nie znajduje podstaw prawnych) nie zmienia faktu, że doszło do nieuprawnionego przetwarzania danych osobowych. Fakt, że inny bank spełnia określone wymogi przewidziane w aktach prawnych określających jego obowiązki względem klientów (podmiotów danych) nie oznacza, że nie doszło do naruszenia ochrony danych osobowych. Administrator w stosunku do innego banku nie posiada żadnych instrumentów umożliwiających mu wyegzekwowanie wdrożenia środków mitygujących ryzyko naruszenia praw lub wolności osób, których dane osobowe zostały naruszone. W gruncie rzeczy Administrator jest skazany na przyjęcie oświadczeń innego banku bez jakichkolwiek możliwości ich weryfikacji. Wyegzekwowanie odpowiedzialności innego banku (i jego pracowników) byłoby możliwe dopiero po wykryciu skutków naruszenia ochrony danych osobowych. Bank w swoich wyjaśnieniach zdaje się pomijać fakt, że rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Administrator, podejmując decyzję o odstąpieniu od realizacji jego obowiązku wynikającego z art. 34 ust. 1 i 2 rozporządzenia 2016/679, powinien opierać się na analizie ryzyka naruszenia praw lub wolności osób, których dane zostały naruszone, a nie na analizie konsekwencji naruszenia przepisów prawa przez pracowników innego banku, których wyciągnięcie byłoby możliwe dopiero po materializacji ryzyka naruszenia praw lub wolności tych osób, których dane zostały naruszone. Innymi słowy, omawiane działanie Banku oznacza w praktyce, że wdrożenie środków mających na celu zminimalizowanie ewentualnych negatywnych skutków naruszenia mógłby nastąpić dopiero po tym, jak osoby, których dane dotyczą, powzięłyby informację o rzeczywistych konsekwencjach tego naruszenia, takich jak np. zaciągnięcie zobowiązania finansowego w następstwie kradzieży tożsamości (szerzej o skutkach o naruszenia ochrony danych osobowych dla osób fizycznych w dalszej części decyzji). W gruncie rzeczy osoby, których dane naruszono, zostały pozbawione jakichkolwiek możliwości zaradzenia skutkom naruszenia i do tego stopnia, że w przypadku materializacji jego skutków zostały pozbawione dochodzenia odpowiedzialności wobec Administratora, np. w procesie cywilnym.
W ocenie Prezesa UODO działanie Banku należy ocenić zdecydowanie negatywnie. Na kanwie niniejszej sprawy uwidoczniona została postawa Administratora względem osób, których dane przetwarza. Brak oczekiwanej reakcji Banku na kolejne pisma organu nadzorczego, w tym niezastosowanie się do wystąpienia Prezesa UODO z 12 lipca 2022 r., każe zakładać, że przyjęta praktyka nieinformowania osób, których dane zostały naruszone – uzasadniona w taki sposób jak w przypadku omawianego naruszenia ochrony danych osobowych – jest przejawem systemowej postawy (polityki) Banku, tzn.: po pierwsze, Administrator a priori uznaje inny bank za podmiot zaufany (mimo że nie jest w stanie tego wykazać), po drugie, nie zamierza zmieniać swojego stanowiska (mimo, że organ nadzorczy w kierowanej do Administratora korespondencji wskazuje mu, że jego stanowisko nie znajduje uzasadnienia w przepisach rozporządzenia 2016/679). W ocenie organu nadzorczego przedmiotowe działanie Banku jest egzemplifikacją lekceważenia praw osób, których dane osobowe Administrator przetwarza i to nie tylko tych objętych przedmiotowym naruszeniem ochrony danych osobowych. Zawiadomienie osób, których dane zostały naruszone nie powinno stanowić dla tego rodzaju instytucji jak bank nadmiernego wysiłku, a byłoby skutecznym narzędziem, które pozwalałoby zminimalizować ryzyko wystąpienie negatywnych skutków naruszenia dla osób fizycznych.
Jak wskazują Wytyczne 9/2022, naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna. W niniejszej sprawie nie ulega wątpliwości, że z uwagi na zakres danych objętych przedmiotowym naruszeniem ochrony danych osobowych (w tym numer ewidencyjny PESEL wraz z imieniem i nazwiskiem) istnieje wysokie prawdopodobieństwo wystąpienia wymienionych powyżej szkód, co oznacza, że z ww. naruszeniem ochrony danych osobowych wiąże się wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Nie ulega również wątpliwości, że zakres danych osobowych, który został objęty naruszeniem ochrony danych osobowych, pozwala na jednoznaczną identyfikację osób, których te dane dotyczą.
Przede wszystkim należy podkreślić, że zaistniałe naruszenie ochrony danych osobowych dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 - będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. Numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Takie zestawienie danych bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci - gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”). Nie sposób również pominąć, że analizowane naruszenie ochrony danych osobowych dotyczyło także adresu zamieszkania lub pobytu oraz serii i nr dowodu osobistego. W ocenie ryzyka kluczowym czynnikiem jest rodzaj i wrażliwość danych osobowych ujawnionych w wyniku naruszenia ochrony danych osobowych. W Wytycznych 9/2022 podkreślono, że zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedyncze dane.
Warto w tym miejscu przytoczyć jeden z przykładów znajdujących się w Wytycznych Europejskiej Rady Ochrony Danych 01/2021 (przypadek nr 14, s. 31), odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. W opisanym w ww. wytycznych przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce numeru PESEL. W przypadku tym EROD nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega wagę krajowych numerów identyfikacyjnych (w tym przypadku numeru PESEL), podkreślając jednocześnie, że tego typu naruszenie ochrony danych osobowych, a więc obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz numeru ubezpieczenia społecznego, wymaga realizacji działań, tj.: powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą.
Europejska Rada Ochrony Danych nie ma najmniejszych wątpliwości, że indywidualnie nadany numer jednoznacznie identyfikujący osobę fizyczną powinien podlegać szczególnej ochronie, a jego ujawnienie nieuprawnionym podmiotom może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
Na fakt, że dane jednoznacznie identyfikujące osobę fizyczną mogą powodować wysokie ryzyko naruszenia praw lub wolności EROD wskazuje również w innych przykładach podanych w Wytycznych 01/2021. W pkt 65 i 66 Wytycznych 01/2021 wskazano: „(…) Naruszone dane pozwalają na jednoznaczną identyfikację osób, których dane dotyczą, i zawierają inne informacje na ich temat (w tym płeć, datę i miejsce urodzenia), ponadto mogą być wykorzystywane przez atakującego do odgadnięcia haseł klientów lub do przeprowadzenia kampanii spear phishingowej skierowanej do klientów banku. Z tych powodów uznano, że naruszenie ochrony danych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności wszystkich osób, których dane dotyczą. W związku z tym możliwe jest wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzieży tożsamości lub oszustwa)”.
Podobnych wątpliwości (że ujawnienie numeru PESEL wraz z innymi danymi osobowymi może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych) nie miał również Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z 22 września 2021 r., sygn. akt II SA/Wa 791/21, stwierdził, że „Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe – w niektórych przypadkach łącznie z numerem ewidencyjnym Pesel lub serią i nr dowodu osobistego – zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem.”. Dalej Sąd w przywołanym orzeczeniu wskazał, że „Dane zostały bowiem udostępnione nieuprawnionym osobom, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.” Rozważając powyższe kwestie należy przywołać również stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażone w wyroku z 1 lipca 2022 r. wydanym w sprawie o sygn. II SA/Wa 4143/21. W uzasadnieniu tego wyroku Sąd stwierdził, iż: „Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku - numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych” (podkreślenie własne). Wskazać również należy na wyrok z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, w którym WSA w Warszawie podkreślił, że „(…) organ trafnie przyjął, iż wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem z uwagi na możliwość łatwej, w oparciu o ujawnione dane, identyfikacji osób, których dane zostały objęte naruszeniem. Dane te bowiem to imię i nazwisko, adres do korespondencji, numer telefonu, numer PESEL osób posiadających polskie obywatelstwo. W tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu”. Podobnie wypowiedział się WSA w Warszawie w wyrokach z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22, 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23 oraz 6 listopada 2023 r., sygn. akt II SA/Wa 996/23.
W świetle powyższego warto przywołać także wyrok NSA z 6 grudnia 2023 r., sygn. akt III OSK 2931/21: „Prezes UODO prawidłowo ustalił, iż doszło do udostępnienia danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych, których ujawnienie zawsze może rodzić ryzyko negatywnych skutków dla ww. osób. Podobnie adresy zamieszkania są to dane osobowe, których nieuprawnione udostępnienie stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych niezależnie od tego, iż do ujawnienia adresów doszło po kilku latach od ich aktualizacji”.
Z raportu infoDOK[3] (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i Administracji i we współpracy m.in. z Policją oraz Federacją Konsumentów), wynika, że w IV kwartale 2023 r. odnotowano 2 739 prób wyłudzeń kredytów i pożyczek, na kwotę 88,3 mln zł. W ciągu ostatnich dwunastu miesięcy natomiast łączna kwota udaremnionych prób wyłudzeń kredytów wynosi 296,1 mln zł. Ponadto wskazać należy, iż w IV kwartale 2022 r. odnotowano 2 269 prób wyłudzeń kredytów i pożyczek, na kwotę 40,2 mln zł[4]. Oznacza to znaczący wzrost prób wyłudzeń kredytów i pożyczek w prezentowanym okresie.
Ponadto, jak wynika z orzecznictwa sądowego, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna. Tytułem przykładu można wskazać na wyrok Sądu Rejonowego w Łęczycy z 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się nr PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym). W uzasadnieniu ww. wyroku Sąd stwierdził, że: „Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (...) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana”.
W innej sprawie (I C 693/16) Sąd Rejonowy w Zgierzu w wyroku z 4 listopada 2016 r. orzekł: „Dane osobowe pozwanego w postaci jego imienia i nazwiska i numeru PESEL, które były zgodne z danymi pozwanego nie świadczyły o tym, że pozwany złożył w dniu 17 grudnia 2014 r. oświadczenie woli o zawarciu umowy pożyczki. Nie wykluczone jest bowiem aby osoba, która w sposób niepowołany uzyskała dostęp do danych osobowych pozwanego zawarła na jego rachunek umowę pożyczki ze spółką (...) sp. z o.o. S.K.A. z siedzibą w W. W przedmiotowej sprawie pozwany wykazał iż nigdy nie mieszkał pod adresem wskazanym w umowie pożyczki oraz aby numer telefonu, adres e - mail za pomocą którego zarejestrowano się na stronie internetowej i złożono wniosek o zawarcie pożyczki do niego należały”.
Spraw związanych z wyłudzeniami kredytów, gdzie nieznane osoby dysponują zazwyczaj jedynie imieniem i nazwiskiem oraz prawidłowym numerem PESEL (pozostałe dane są nieprawdziwe), jest wciąż bardzo wiele, co potwierdzają wydawane przez sądy wyroki w tych sprawach. Poniżej kilka przykładowych:
- Wyrok Sądu Rejonowego dla Łodzi-Widzewa w Łodzi z 13 sierpnia 2020 r. w sprawie o sygn. akt II C 1145/19, w której nieznana pozwanemu osoba trzecia weszła bezprawnie w posiadanie jego numeru PESEL oraz numeru dowodu osobistego, zaś pozostałe dane adresowe - wskazane w umowie pożyczki - były nieprawdziwe - „W ocenie Sądu zaoferowany przez stroną pozwaną materiał dowodowy - zwłaszcza dokumenty z akt sprawy karnej toczącej się przed Sądem Rejonowym w Tarnowskich Górach o sygnaturze akt VI K 383/16 - świadczą o tym, iż umowę pożyczki z dnia 8 listopada 2014 r. zawarła osoba trzecia, posługująca się niektórymi danymi osobowymi Z. A. Podała ona fałszywy adres zamieszkania, pod którym pozwany nigdy nie zamieszkiwał, zaś kwota pożyczki została przelana na rachunek bankowy, który nie należał do Z. A. […] zaś numer dowodu osobistego podany w tej umowie był numerem dowodu, którym pozwany już się nie posługiwał w dacie zawarcia umowy pożyczki, gdyż dowód ten stracił ważność około 8 miesięcy wcześniej”;
- Wyrok Sądu Rejonowego w Piszu z 21 sierpnia 2020 r., sygn. akt I C 260/20 – „[…] Sąd ustalił, że przy zawieraniu przedmiotowej umowy, w sposób nieuprawniony posłużono się danymi pozwanego i wpisano je, jako dane pożyczkobiorcy, przy czym to nie pozwany był stroną umowy. Stanowisko pozwanego znajduje potwierdzenie w zgłoszonym przez niego zawiadomieniu o popełnieniu przestępstwa oszustwa na jego szkodę, jak również w fakcie, że prokuratura prowadzi postępowanie w tej sprawie przeciwko wskazanej przez pozwanego osobie. Na marginesie należy zauważyć, że także w ramach toczących się przed tutejszym sądem postępowań o zapłatę sygn. akt I C 1/19 i I C 482/19, gdzie E. M. także występował w charakterze pozwanego, i gdzie doszło do zaciągnięcia na jego imię i nazwisko zobowiązań finansowych w takich samych okolicznościach, co w ramach niniejszego postępowania, również zapadły prawomocne wyroki oddalające powództwo. W ocenie sądu okoliczności zawarcia umowy z powodem, gdzie tożsame jest pierwsze imię i nazwisko pożyczkobiorcy oraz jego numer PESEL, zaś istnieje rozbieżność co do pozostałych danych wynikających z treści dowodu osobistego pozwanego tj. serii i numeru tego dokumentu, adresu zamieszkania, przy uwzględnieniu faktu prowadzenia procesu karnego w stosunku do osoby, która miała podszyć się pod pozwanego, celem zawierania na odległość umów i zaciągania zobowiązań finansowych w różnych instytucjach, wskazują jednoznacznie, iż to nie pozwany zawarł z poprzednikiem prawnym powoda umowę pożyczki nr (...)”;
- Wyrok Sądu Rejonowego w Puławach z 7 kwietnia 2022 r. w sprawie o sygn. akt I C 475/19, w której Sąd jednoznacznie przyznał, iż „[…] dowodu pozwalającego na weryfikację pozwanego jako strony przedmiotowej umowy nie stanowi samo wskazanie jego danych osobowych: imienia nazwiska, numeru PESEL, a także serii i numeru dowodu osobistego w treści umowy - w szczególności w sytuacji, gdy pożyczka zawierana jest za pośrednictwem platformy internetowej, a więc co oczywiste, pożyczkodawca nie ma możliwości niejako bezpośredniej weryfikacji tożsamości drugiej strony, a sama umowa nie zostaje potwierdzona podpisem pożyczkobiorcy”.
Trzeba mieć także na uwadze, że prawidłowe wykonanie przez Administratora jego obowiązku wynikającego z art. 34 ust. 1 rozporządzenia 2016/679, związane m.in. z koniecznością przekazania w ramach zawiadomienia o naruszeniu ochrony danych osobowych wszystkich wymaganych informacji, stosownie do art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679, nie może być uzależniane od zaistnienia naruszenia praw lub wolności tej osoby w wyniku materializacji możliwych negatywnych konsekwencji naruszenia (por. wyroki WSAw Warszawie z 22 września 2021 r., sygn. II SA/Wa 791/21, z 1 lipca 2022 r., sygn. akt II SA/Wa 4143/21, z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22).
Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze cel tego rozporządzenia (wyrażony w art. 1 ust. 2), którym jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych.
Z kolei ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych – należy w pierwszej kolejności brać pod uwagę te wartości.
Warto podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest zawiadomienie o naruszeniu osób, których dane dotyczą, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie obowiązków określonych w art. 34 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osób, których dane dotyczą (jak wyżej wykazano), to wagę potencjalnego wpływu na prawa lub wolności osób fizycznych należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, co w konsekwencji determinuje obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą.
W Wytycznych 9/2022 EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła się do motywów 75 i 76 rozporządzenia 2016/679, które sugerują, że administrator powinien uwzględnić zarówno prawdopodobieństwo wystąpienia, jak i powagę zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ryzyku wpływu naruszenia na osobę fizyczną. Zatem, oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw i wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia.
Podsumowując powyższe rozważania należy stwierdzić, że w przedmiotowym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Banku obowiązku zawiadomienia tych osób o naruszeniu, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.
Jeszcze raz należy podnieść, że w niniejszej sprawie, co najmniej do dnia wydania niniejszej decyzji administracyjnej, Bank nie zapewnił osobom, których naruszenie dotyczyło, informacji o naruszeniu ochrony danych osobowych, czym pozbawił ich wskazówek co do działań, jakie mogą podjąć by się skutecznie przeciwstawić możliwym negatywnym skutkom naruszenia.
Niewłaściwa realizacja przez administratora obowiązku wskazanego w art. 34 ust. 1 i 2 rozporządzenia 2016/679, w wyniku braku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych wobec nieprzekazania im bez zbędnej zwłoki informacji wskazanych w ww. przepisach rozporządzenia 2016/679, nie budzi zatem wątpliwości. Brak wykonania przez administratora tego obowiązku względem podmiotów danych powoduje zastosowanie przez organ nadzorczy środka naprawczego, skoro istnienie naruszenia prawa w ww. zakresie jest niepodważalne.
Zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych powoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Wobec powyższego Prezes UODO, działając na podstawie art. 58 ust. 2 lit. e) rozporządzenia 2016/679, nakazał Administratorowi powiadomienie osób objętych naruszeniem w zakresie oraz w terminie określonym w sentencji niniejszej decyzji.
Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Bank administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 34 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679.
Decydując o nałożeniu na Bank administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
W niniejszej sprawie stwierdzono naruszenie przepisu art. 34 ust. 1 rozporządzenia 2016/679 (polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą). Związane jest ono ze zdarzeniem polegającym na błędnym przesłaniu dokumentów przez podmiot przetwarzający dane osobowe na zlecenie Administratora. W następstwie naruszenia ochrony danych osobowych doszło do nieuprawnionego udostępnienia danych osobowych w szerokim zakresie obejmującym między innymi numer PESEL wraz z imieniem i nazwiskiem oraz danymi adresowymi, a także serią i numerem dowodu osobistego, co sprawia, że ma ono znaczną wagę i poważny charakter, ponieważ zdarzenie to może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w wyroku z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.
Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia przez Bank przepisów rozporządzenia 2016/679. Od powzięcia przez Administratora informacji o naruszeniu, tj. od 7 lipca 2022 r., do dnia wydania niniejszej decyzji upłynęły ponad dwa lata. W tym czasie ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogły przeciwdziałać ze względu na niewywiązanie się przez Bank z obowiązku powiadomienia o naruszenia osób, których dane dotyczą.
W sprawie ustalono, że naruszenie dotyczyło danych osobowych (…) osób. Taką liczbę osób dotkniętych naruszeniem, szczególnie wobec faktu, że Bank – w związku ze skalą i zakresem swojej działalności – przetwarza dane osobowe bardzo dużej liczby klientów, należy uznać za niewielką, co niewątpliwie przemawia na korzyść Administratora. Nie wpływa to jednak na dokonaną, całościową ocenę wpływu tej przesłanki – jako obciążającej – na wymiar nakładanej kary.
2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (dalej jako Wytyczne WP253), potwierdzonymi Wytycznymi 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (dalej jako Wytyczne 04/2022[5]), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Bank podjął świadomą decyzję, by nie zawiadamiać o naruszeniu osób, których dane dotyczą. Nie ulega wątpliwości, że Bank, przetwarzając dane osobowe na masową skalę, powinien mieć wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (a wiedzy tej wymagać można nie tylko od administratora, lecz również od powołanego przez niego inspektora ochrony danych). Uznać zatem należy, że Administrator, będąc świadomym ciążącej na nim odpowiedzialności, zlekceważył swoje obowiązki związane z naruszeniem ochrony danych i zaniechał zawiadomienia osób, których dane dotyczą, o tym naruszeniu. Umyślność w postępowaniu Banku (to znaczy celowe działanie ze świadomością, że jest ono sprzeczne ze stanowiskiem Prezesa UODO) istniała już z całą pewnością od daty otrzymania wystąpienia Prezesa UODO skierowanego do niego 12 lipca 2022 r. W wystąpieniu tym Prezes UODO zwrócił się do Banku o zawiadomienie o naruszeniu ochrony danych osobowych osób, których dane dotyczą. Organ nadzorczy wskazał tym samym Bankowi, że jego dotychczasowe stanowisko w tym zakresie jest niezgodne z art. 34 ust. 1 rozporządzenia 2016/679. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.
3. Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Na postawie zgromadzonego w sprawie materiału dowodowego nie stwierdzono podjęcia przez Administratora takich działań. Bierność Administratora w tym zakresie uniemożliwiła osobom, których dane dotyczą, między innymi podjęcie ewentualnych działań mających na celu minimalizację negatywnych skutków naruszenia ochrony ich danych osobowych. Powyższe przesądza o konieczności uznania tej przesłanki za obciążającą dla oceny zasadności i wysokości zastosowanej administracyjnej kary pieniężnej.
4. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Przy podejmowaniu decyzji o nałożeniu i wysokości administracyjnej kary pieniężnej, organ nadzorczy zobowiązany jest do zwrócenia uwagi na wszelkie wcześniejsze naruszenia rozporządzenia 2016/679. Wytyczne 04/2022 wskazują: „Istnienie wcześniejszych naruszeń można uznać za czynnik obciążający przy obliczaniu wysokości kary pieniężnej. Waga przypisywana temu czynnikowi powinna być ustalana z uwzględnieniem charakteru i częstotliwości wcześniejszych naruszeń. Brak wcześniejszych naruszeń nie może jednak zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę” (pkt 94 wytycznych).
Organ nadzorczy stwierdzając w innych wydawanych decyzjach administracyjnych naruszenie przez Administratora przepisów o ochronie danych osobowych korzystał już względem Banku z uprawnień naprawczych i upominawczych. Prezes UODO wydał następujące decyzje:
- decyzja (…), upomnienie za naruszenie art. 17 ust. 1 w zw. z art. 12 ust. 3 rozporządzenia 2016/679 polegające na niezrealizowaniu żądania usunięcia danych osobowych w terminie wskazanym w art. 12 ust. 3 ww. rozporządzenia;
- decyzja (…), upomnienie za naruszenie art. 6 ust. 1 rozporządzenia 2016/679, polegające na przetwarzaniu danych osobowych bez podstawy prawnej;
- decyzja (…), upomnienie za nieprawidłowości w procesie przetwarzania danych osobowych polegające na naruszeniu art. 6 ust. 1 rozporządzenia 2016/679 poprzez przetwarzanie danych osobowych w zakresie adresu e-mail bez podstawy prawnej;
- decyzja (…), upomnienie za nieprawidłowości w procesie przetwarzania danych osobowych polegające na naruszeniu art. 6 ust. 1 lit. b) w związku art. 5 ust. 1 lit. f) rozporządzenia 2016/679, poprzez udostępnienie danych osobowych skarżącej na rzecz osoby nieuprawnionej;
- decyzja (…), nakaz przekazania w formie papierowej kopii wszystkich danych osobowych przetwarzanych przez Bank; nakaz przekazania w formie elektronicznej informacji w zakresie kategorii odnośnych danych osobowych oraz kopii danych osobowych przetwarzanych przez Bank; udzielenie upomnienia za naruszenie art. 12 ust. 1 i 3 oraz 15 ust. 1 i 3 rozporządzenia 2016/679 polegające na niespełnieniu w terminie obowiązku przekazania kopii danych osobowych;
- decyzja (…), nakaz przekazania w formie papierowej kopii danych osobowych przetwarzanych przez Bank dotyczących obrotów na rachunku bankowym oraz numeru klienta; upomnienie za naruszenie art. 12 ust. 1 i 3 oraz 15 ust. 3 rozporządzenia 2016/679;
- decyzja (…), upomnienie za naruszenie art. 6 ust. 1 rozporządzenia 2016/679; nakaz usunięcia danych osobowych;
- decyzja (…), upomnienie za naruszenie art. 6 ust. 1 rozporządzenia 2016/679 polegające na przetwarzaniu danych osobowych bez podstawy prawnej;
- decyzja (…), nakaz zaprzestania przetwarzania danych osobowych na podstawie art. 6 ust. 1 i art. 58 ust. 2 lit. c) oraz art. 6 ust. 1 lit. f) i art. 58 rozporządzenia 2016/679 w zw. z art. 105a ust. 3 ustawy Prawo bankowe;
- decyzja (…), upomnienie za naruszenie art. 6 ust. 1 rozporządzenia 2016/679
- decyzja (…), nakaz spełnienia obowiązku informacyjnego określonego w art. 15 ust. 1 rozporządzenia 2016/679 poprzez udzielenie żądanych informacji, zgodnie z wnioskiem oraz nakaz dostarczenia kopii danych, zgodnie z art. 15 ust. 3 rozporządzenia 2016/679 w związku z żądaniem zawartym we wniosku;
- decyzja (…), na podstawie art. 6 ust. 1 rozporządzenia 2016/679 nakaz usunięcie danych osobowych
- decyzja (…), na podstawie art. 6 ust. 1 rozporządzenia 2016/679 nakaz usunięcia danych osobowych;
- decyzja (…), na podstawie art. 6 ust. 1 rozporządzenia 2016/679 nakaz usunięcia danych osobowych;
- decyzja (…), na podstawie art. 6 ust. 1 rozporządzenia 2016/679 nakaz zaprzestania przetwarzania danych osobowych zawartych we wniosku o udzielenie pożyczki, przetwarzanych bez podstawy prawnej;
- decyzja (…), nakaz dostarczenia danych w zakresie głosu z nagrań rozmów (art. 15 ust. 1 lit. c rozporządzenia 2016/679);
- decyzja (…), nakaz doręczenia informacji o odbiorcach danych (art. 15 ust. 1 lit. c rozporządzenia 2016/679);
- decyzja (…), nakaz dostarczenia danych w zakresie głosu z nagrań rozmów (art. 15 ust. 3 rozporządzenia 2016/679).
Nie bez znaczenia pozostają opisane powyżej naruszenia, skutkujące zastosowaniem przez organ nadzorczy środków naprawczych, na ostateczny wymiar nałożonej wobec Administratora kary. Organ nadzorczy dostrzega związek pomiędzy wcześniej stwierdzonymi naruszeniami a obecnie analizowanym naruszeniem przepisu rozporządzenia 2016/679, jak np. zbliżony modus operandi Banku, polegający na celowym niedostarczeniu podmiotom do tego uprawnionym określonych danych osobowych i informacji, co miało miejsce np. w przypadku naruszeń art. 15 ust. 1 rozporządzenia 2016/679.
Udzielenie zatem licznych upomnień Bankowi uzasadnia nie tylko samo wymierzenie sankcji finansowej w niniejszym postępowaniu, ale także jej stosunkowo wysoki wymiar.
Z uwagi na powyższe, w przedmiotowej sprawie należy uznać, że istnieją podstawy do traktowania przesłanki z art. 83 ust. 2 lit. e) rozporządzenia 2016/679 jako obciążającej.
5. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę ze strony Banku. Ocena ta dotyczy reakcji administratora na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych. W działaniach Banku uwidoczniony został brak oczekiwanej reakcji na wystąpienie Prezesa UODO z 12 lipca 2022 r. wskazujące na sposób usunięcia naruszenia, tj. zawiadomienie osób dotkniętych naruszeniem ochrony danych osobowych o tym naruszeniu. Dodać do tego należy, że nawet wszczęcie postępowania administracyjnego w przedmiocie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą, nie zmieniło postępowania Administratora w tym zakresie. Powyższe przesądza o konieczności uznania tej przesłanki jako obciążającej z punktu widzenia ustalenia wysokości administracyjnej kary pieniężnej.
6. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe udostępnione osobie nieuprawnionej nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 czy art. 10 rozporządzenia 2016/679, jednakże fakt, że zostały udostępnione dane w zakresie: nazwiska i imiona, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości) oznacza wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Nie ma innej, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną. Nie bez powodu numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie.
W tym kontekście warto powołać wytyczne EROD 04/2022, w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) [rozporządzenia 2016/679]), w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większa wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.
Należy też raz jeszcze wskazać na kształtujące się w tym zakresie orzecznictwo, gdzie dla przykładu w wyroku z 15 listopada 2022 r. o sygn. akt II SA/Wa 546/22 WSA w Warszawie wskazał: „Oczywistym też było, że organ określając wymiar kary musiał uwzględnić fakt, że naruszenie dotyczyło danych o wielkiej wrażliwości (m.in. PESEL, adres, dane o stanie zdrowia)”. Pogląd ten podzielony został także przez ww. Sąd w wyroku z 21 czerwca 2023 r. w sprawie o sygn. akt II SA/Wa 150/23, gdzie Wojewódzki Sąd Administracyjny w Warszawie wskazał: „Reasumując Sąd stoi na stanowisku, że ujawnienie numeru PESEL, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a)-j) rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:
1. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Naruszenie przepisów rozporządzenia 2016/679 oceniane w niniejszym postępowaniu nie ma związku ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi.
2. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie przepisów rozporządzenia 2016/679 w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi 04/2022 „(…) przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub dochodzenia. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (jak np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną”.
3. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
4. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679).
Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
5. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
Prezes UODO nie dostrzega innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności niniejszej sprawy.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie administracyjnej kary pieniężnej na Administratora jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych temu podmiotowi naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie wobec tego podmiotu jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmiot w przyszłości nie dopuści się podobnych, co w sprawie niniejszej, zaniedbań.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej jako u.o.d.o.) równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 u.o.d.o., za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Bank – stosując średni kurs euro z dnia 29 stycznia 2024 r. (1 EUR = 4,3653 PLN) – administracyjną karę pieniężną w kwocie 4 053 173 zł (co stanowi równowartość 928 498,06 EUR).
W ocenie Prezesa UODO, zastosowana kara pieniężna w wysokości 4 053 173 zł (słownie: czterech milionów pięćdziesięciu trzech tysięcy stu siedemdziesięciu trzech złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Bankowi administracyjnej kary pieniężnej, Prezes UODO uznał, że jest ona proporcjonalna do sytuacji finansowej Administratora i nie będzie stanowiła dla niego nadmiernego obciążenia.
Z przedstawionej przez Administratora informacji wynika, że całkowity roczny obrót z poprzedniego roku obrotowego w 2023 r. wyniósł (…), w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi (…) ww. wielkości. Jednocześnie warto podkreślić, że kwota nałożonej kary to jedynie ok. (…) maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 maksimum kary w wysokości do 2% całkowitego rocznego obrotu z poprzedniego roku obrotowego – nałożyć na Bank za stwierdzone w niniejszej sprawie naruszenia, tj. (…).
Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Banku Zdaniem Prezesa UODO, Bank powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby „Sprawozdanie (…)”.
Na koniec koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
1. Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenia obu przepisów rozporządzenia 2016/679 (art. 34 ust. 1 i 2) należą – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostały więc one in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 rozporządzenia 2016/679).
2. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia jako naruszenia o niskim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonych w niniejszej sprawie naruszeń traktowanych w całości prowadzi do wniosku, że poziom ich powagi również in concreto jest niski (w skali powagi naruszeń przedstawionej w pkt 60 Wytycznych 04/2022). Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 0 do 10% maksymalnej wysokości kary możliwej do orzeczenia wobec Banku. Zważywszy, że przepis art. 83 ust. 4 rozporządzenia 2016/679 zobowiązuje Prezesa UODO do przyjęcia jako maksymalnej wysokości kary za naruszenia wskazane w tym przepisie kwoty 10 000 000 EUR lub – o ile wartość ta jest wyższa niż 10 000 000 EUR – kwoty stanowiącej 2% obrotu Banku z poprzedniego roku obrotowego, Prezes UODO uznał, że zastosowanie w niniejszej sprawie ma tzw. dynamiczna maksymalna kwota kary wynikająca z zastosowania 2-procentowego wskaźnika przyłożonego do obrotu Banku za 2023 r. Mając do dyspozycji przedział (…), Prezes UODO przyjął, jako adekwatną i uzasadnioną okolicznościami sprawy, kwotę wyjściową do obliczenia wysokości kary wynoszącą (…) (stanowiącą 2% dynamicznej maksymalnej wysokości kary).
3. Stosownie do wskazówki Europejskiej Rady Ochrony Danych przedstawionej w pkt 66 Wytycznych 04/2022 (w odniesieniu do przedsiębiorstw, których roczny obrót wynosi powyżej 500 mln EUR) Prezes UODO nie uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej, którą to możliwość wytyczne te (w Rozdziale 4.3) przewidują dla przedsiębiorstw o mniejszej wielkości i sile gospodarczej. EROD wskazuje w nich bowiem, że w przypadku wielkich podmiotów (a takim jest w niniejszej sprawie niewątpliwie jest Bank, o czym świadczą osiągane przez niego obroty) „wielkość przedsiębiorstwa jest już odzwierciedlona w dynamicznej ustawowej maksymalnej kwocie” (pkt 66 Wytycznych 04/2022).
4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadniono w przedstawionym wyżej uzasadnieniu decyzji), że okolicznościami obciążającymi w niniejszej sprawie, i w związku z tym dodatkowo zwiększającymi wymiar orzeczonej niniejszą decyzją kary, są działania podjęte w celu zminimalizowania szkody (art. 83 ust. 2 lit. c) rozporządzenia 2016/679), stwierdzone przez Prezesa UODO stosowne wcześniejsze naruszenia ze strony Banku (art. 83 ust. 2 lit. e) rozporządzenia 2016/679), a także stopień współpracy Banku z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. d), h), i), j), k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie dodatkowych okoliczności obciążających, związanych ze stroną podmiotową naruszeń (oceną postępowania Banku przed i po naruszeniach), za zasadne Prezes UODO uznał zwiększenie kwoty kary ustalonej na podstawie oceny powagi naruszeń (pkt 2 powyżej). Adekwatnym do wpływu tych przesłanek na ocenę naruszeń jest w ocenie Prezesa UODO jej podwyższenie do kwoty (…) EUR.
5. Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (vide Rozdział 6 Wytycznych 04/2022).
6. Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedna z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości (…) byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Bank, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną zarówno w stosunku do wagi stwierdzonych naruszeń (która in abstracto i in concreto jest niska – vide pkt 1 i 2 powyżej), jak i ze względu na swoją nadmierną – w odniesieniu do tej wagi – dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ administracyjny środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz).
Mając więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary – do kwoty (…) (równowartość […] zł). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego – w odniesieniu do innych organów nadzorczych oraz EROD – rozumienia, stosowania i egzekwowania rozporządzenia 2016/679, oraz zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG
Podsumowując powyższe, w ocenie Prezesa UODO orzeczona w niniejszej sprawie wobec Administratora administracyjna kara pieniężna spełnia w świetle całokształtu indywidualnych okoliczności sprawy przesłanki (funkcje kar), o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679.
Mając powyższe na uwadze Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.
[1] Ww. wytyczne zaktualizowały i uzupełniły Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (Wp250 rev.01), przyjęte w dniu 3 października 2017 r.
[2] Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów dotyczących powiadomienia o naruszeniu danych osobowych przyjęte w dniu 14 grudnia 2021 r., wersja 2.0 (dalej „Wytyczne 01/2021”).
[3] https://www.zbp.pl/getmedia/2f8a1812-dca0-4242-b460-5de48b66f719/infodok-2023-10-12-wydanie-56-sklad-240126-gk05
[4] https://www.zbp.pl/getmedia/6fdef6c1-3d63-43f6-a992-179a333455c7/infodok422
[5] https://edpb.europa.eu/system/files/2024-01/edpb_guidelines_042022_calculationofadministrativefines_pl_0.pdf